Trend Micro сообщает о появлении новой троянской программы — KRASS.
Новый троянец KRASS является утилитой удаленного администрирования инфицированных компьютеров в Сети (Backdoor).
Троян состоит из двух частей: клиентской и серверной.
Основной частью трояна является программа с хитрым именем «Explorer.EXE» — это основная «серверная» компонента троянца, которая ждет вызовов от удаленных «клиентов».
Серверная часть позволяет удаленному «клиенту» управлять компьютером-жертвой удаленно, используя для этого 456 порт. Серверная программа «слушает» этот порт, чтобы установить соединение с клиентской компонентой. Установив связь, удаленный клиент может осуществлять:
- полный доступ к диску (запись/чтение файлов)
- уничтожение файлов/директорий
- запуск приложений
- загрузку файлов (Download)
- отслеживание процессов, запущенных на компьютере-жертве
- получение RAS-паролей (пароли удаленного доступа)
Клиентская компонента троянца содержит некоторые «полезные» функции, позволяющие использовать ее автономно. Она имеет опцию для изменения заголовков любых окон, свойств или кнопок.
Серверная компонента имеет скрытый переключатель, который позволяет отключить для клиентской программы доступ к любому диску. Тогда серверная программа становится практически бесполезной, единственное, что она может выполнять в этом случае — это отслеживание процессов, запущенных на инфицированном компьютере. Чтобы активизировать эту опцию, необходимо добавить переключатель /SECRET в командную строку, тогда программа покажет четыре опции:
- Disable RAS Password (отключить доступ к RAS-паролям)
- Disable Disk Access (отключить доступ к диску)
- Disable File Deleting (отключить удаление файлов)
- загрузку файлов (Download)
- Disable Button Clicking (отключить нажатие кнопок)
Обе программы не изменяют никаких файлов и могут быть легко закрыты. Серверную программу можно закрыть простым нажатием на клавишу «X» или Ctrl-Alt-Del. Клиентская часть закрывается выбором — «exit».
Хакеру в помощь: TROJ_KRASS